В апреле американские законодатели представили новый законопроект, касающийся регулирования ML. Algorithmic Accountability Act — это, пожалуй, первая серьёзная попытка создать общие правила для игроков многообещающей отрасли.
В прописанных нормах драфта закона можно найти как сухие юридические термины, так и цифры, дающие представление о том, кого именно американский законодатель решил ограничить в свободе использования алгоритмов. Что ждёт компании и пользователей — в обзоре юристов Arzinger.
Почему этот акт вообще появился
Вкратце объясним логику. Часто законы появляются из-за проблем. Тех проблем, которые создаёт технологичный бизнес. Или, что встречается реже, из-за тех законодательных препятствий, которые не позволяют отрасли развиваться, — комментирует адвокат Александр Солопов.
В случае с Algorithmic Accountability Act это следствие тех скандалов и обсуждений, которые уже случились. Помните? Система распознавания лиц Amazon позволила себе дискриминацию женщин с тёмным цветом кожи, алгоритм Google таргетировала нерелевантную рекламу, искусственному интеллекту не готовы довериться в такой гиперчувствительной области как здравоохранение.
Тезисно. Что предлагает Конгресс:
- Определиться с тем, что называть «Автоматизированной системой принятия решений», «Автоматизированными системами принятия решений с высоким риском» и как быть с «Оценкой влияния на принятие решений автоматизированной системой»;
- Последний термин включает в себя десяток пунктов: чтобы оценить влияние системы на принятие решений (пользователем), разработчику нужно будет не только описать механику и дизайн алгоритма. Ему придётся также рассказать регулятору о данных, на основании которых система обучается, о выгодах использования системы, об оправданности используемых объёмов данных, и пользователях, которые смогут применять результаты работы системы или корректировать их;
- Регулятором выступит Федеральная торговая комиссия, она же в течение двух лет после принятия этого закона будет разрабатывать дальнейшее регулирование;
- Высокорисковыми предлагается считать те AIS, которые систематически контролируют большие физические территории или могут повлиять на чувствительные зоны жизнедеятельности человека: на его работу, достаток, здоровье, привычки и предпочтения, свободу перемещений, существенным образом повлиять на свободу выбора, а также дискриминировать его по одному или нескольким признакам (по гендеру/расе/биометрии/национальности и пр.).
Что это всё значит?
Можно сказать, что в общем-то американцы пошли по проторенной дороге, но дальше европейцев. У последних уже есть GDPR, который всё о том же: о регулировании использования массивов информации о пользователях/для пользователей. Американцы — про конкретную технологию.
Но законодательная логика, считай, та же. Конгресс США, как и ЕС, во главу поставил интересы пользователей автоматизированных систем (физических лиц). Приоритет отдан свободе выбора человека, степени влияния AI на жизнь гражданина. Меры контроля, прозрачность механики взаимодействия «пользователь-алгоритм» — вполне ожидаемы.
Кого коснётся?
Под влияние закона попадут компании, которые работают с Machine Learning и AI алгоритмами:
- если их среднегодовой оборот за три последних года превышает $50,000,000.00;
- если они обрабатывают (контролируют) данные более чем 1,000,000 пользователей или более чем 1,000,000 устройств;
- коммерческие организации, основной деятельностью которой является сбор и хранение личной информации с целью продажи или обмена информацией, или обеспечения доступа к этой информации третьих лиц; — те, кто контролирует такие компании (и по устройствам, и по оборотам, и по роду деятельности «торговля информацией»).
То есть, этим требованиям должны соответствовать как единороги, так и стартапы, в планы которых входит слияние с крупными технологичными компаниями.
Вне сферы влияния Федеральной комиссии останутся банки и федеральные кредитные союзы, наземные и авиаперевозчики (их регулирует законы о коммерции), физические и юридические лица, попадающие под действие Закона об упаковщиках и складах.
Каждое лицо, которое подпадает под регулирование, будет обязано вводить критерии оценки влияния на автоматизированную систему и критерии оценки защиты такой системы.
Что в сухом остатке
Исходя из текста закона можно заключить, что компаниям, которые ведут активную разработку в области Machine Learning и AI придётся делать детальное описание своих алгоритмов и условия их использования. Охват регулирования будет не такой широкий, как был при вводе GDPR, но тем, кого коснётся регулирование, наверняка придётся провести определённую работу. AAAct можно сравнить с техническими требованиями для автомобилей. Он скорее не про ограничения, а про минимум, которому нужно будет соответствовать.
Уже сейчас ясно, что регулирование вводится не только в защиту потребителей, но и с учётом интересов компаний, использующих Machine Learning и AI алгоритмы. То есть, как и в случае с GDPR, будут работать не только такие ограничивающие принципы, как минимальный и обоснованный сбор информации, но и защитные. Например, сохранение коммерческой тайны компании.
Что с этого ИT-стране 2.0
Если мы (с подачи главы ПВТ Всеволода Янчевского) позиционируем себя как центр компетенций в Machine Learning, а количество таких компаний приближается к сотне, то вероятно нас ждёт созвучное регулирование. По крайней мере эти best practices точно будут учитываться.
«Есть мнение, что в среднесрочной перспективе в сфере AI выиграют те страны, где регуляции будут слабее»
Представитель сообщества Open Data Science, руководитель R&D команды WANNABY Арсений Кравченко:
Регуляции в сфере ML — важный пункт, с которым нам всем придётся так или иначе сталкиваться в ближайшем будущем. И, как обычно, хорошая идея может пострадать от реализации.
Мне кажется хорошей идеей по-разному регулировать применение ML к разным задачам. Очевидно, что алгоритмы для беспилотных автомобилей более чувствительны к ошибкам, чем, например, алгоритмы рекомендаций в музыкальном сервисе. При этом границы применимости, определённые размером аудитории или денежным оборотом, вызывают вопросы: например, не хотелось бы, чтобы мессенжер, в котором можно дорисовать к селфи очередные маски или ушки, регулировался сильнее, чем софт, которым пользуются две небольшие клиники.
Попытки запрещать использовать те или иные признаки в моделях, требовать интерпретируемости моделей обречены на вечную борьбу щита и меча. Дата саентисты, работающие в банках, придумывают всё новые трюки на эту тему, регуляции так или иначе слегка отстают, люди тратят силы на бестолковую по сути возню, энтропия растёт, мир определенно не становится лучше.
Есть мнение, что в среднесрочной перспективе в сфере AI выиграют те страны, где регуляции будут слабее, — просто потому, что больше людей и компаний смогут эксперементировать. Стоит ли эта победа некоторого ущерба для privacy в обществе — вопрос неоднозначный; лично я считаю, что скорее да.
Я уверен, что рано или поздно законодательство на эту тему появится и в Беларуси. Хочется верить, что его будут разрабатывать в контакте с профессионалами (как это было, например, с декретом о ПВТ 2.0). Отдельно отмечу, что если белорусские законы будут заметно либеральнее аналогов в других странах (например, GDPR получился довольно сложным в исполнении), это может стать хорошим поводом развивать AI-компании в Беларуси.
Наконец, надо понимать, что подобные регуляции — это только часть каких-то национальных стратегий на тему AI. Важно, чтобы такие стратегии были консистентными, а не только регулировали отдельные вопросы там и тут. Немало стран уже работают над цельными стратегиями; хорошо бы, чтобы Беларусь тоже оказалась в этом списке в обозримом будущем.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.